- Visão geral da administração do Guia do usuário
- Recursos de sites
- Administração do site
- Trabalhos assíncronos
- Reutilizar conteúdo: gerenciador de vários sites e Live Copy
- Visão geral do console da Live Copy
- Configurar a sincronização da Live Copy
- Criação e sincronização de Live Copies
- Conflitos de implantação do MSM
- Solução de problemas e perguntas frequentes do MSM
- Práticas recomendadas do MSM
- Tradução de conteúdo para sites multilíngues
- Gerenciamento de projetos de tradução
- Identificação de conteúdo a ser traduzido
- Preparação de conteúdo para tradução
- Criar uma raiz de idioma usando a interface clássica
- Conectar ao Microsoft Translator
- Configuração da estrutura de integração de tradução
- Assistente de cópia de Idioma
- Aprimoramentos de tradução
- Práticas recomendadas de tradução
- Configurações e o navegador de configuração
- Perguntas frequentes sobre AEM
- Operações
- Painéis
- Painel de operações
- Backup e restauração
- Coleta de lixo do armazenamento de dados
- Monitorar recursos do servidor usando o console JMX
- Trabalhar com logs
- Manutenção do registro de auditoria no AEM 6
- Configurar o editor de rich text
- Configuração do RTE para produção de sites acessíveis
- Configuração de desfazer para edição de página
- Configurar os plug-ins do Editor de Rich Text
- Configurar o componente de Vídeo
- O editor em massa
- Configuração de notificação por email
- O Verificador de links
- Solução de problemas de AEM
- Gerenciamento de acesso a workflows
- Inicialização de workflows
- Administração de fluxos de trabalho
- Administração de instâncias do fluxo de trabalho
- Uso do cURL com AEM
- Ferramenta do servidor proxy (proxy.jar)
- Configuração para aplicativos AEM
- Configuração de formulários de pesquisa
- Consoles Ferramentas
- Relatório
- Configuração do contêiner de layout e modo de layout
- Editor
- Ativar o acesso à interface clássica
- Admin Console
- Segurança
- Administração e segurança do usuário
- Administração de usuários, grupos e direitos de acesso
- Lista de verificação de segurança
- OWASP Top 10
- Executando AEM no modo Pronto para produção
- Gerenciamento de identidade
- Autenticação do Adobe IMS e suporte do Admin Console para AEM Managed Services
- Criando um grupo de usuários fechado
- Atenuando problemas de serialização no AEM
- Sincronização de usuários
- Suporte a token encapsulado
- Logon único
- Como auditar operações de gerenciamento de usuários no AEM
- SSL por padrão
- Manipulador de autenticação SAML 2.0
- Grupos de usuários fechados em AEM
- Operações do Granite - Administração de usuários e grupos
- Ativar o CRXDE Lite AEM
- Configuração do LDAP com AEM 6
- Configure a senha de administrador na instalação
- Usuários do serviço no AEM
- Suporte a criptografia para propriedades de configuração
- Lidar com solicitações do GDPR para a AEM Foundation
- Visão Principal para Gerenciamento de Permissões
- Filtro de Disposição de Conteúdo
- Mapeamento de grupo de usuários personalizado no AEM 6.5
- Suporte a cookies do mesmo site
- Personalização
- Integração
- Integração com serviços de terceiros
- Integração com o Salesforce
- Integração com o Adobe Target
- Integração com o Adobe Learning Manager
- Integração ao Adobe Analytics
- Conectar ao Adobe Analytics e Criar Frameworks
- Configuração do rastreamento de links para o Adobe Analytics
- Mapeamento de dados do componente com propriedades do Adobe Analytics
- Configuração do rastreamento de vídeo para o Adobe Analytics
- Integração com o Adobe Analytics usando IMS
- Perguntas frequentes sobre entrega de conteúdo HTTP2
- Solução de problemas da integração do Adobe Campaign
- Licenças do conector SharePoint, avisos de direitos autorais e isenções de responsabilidade
- Conector SharePoint
- Perguntas frequentes sobre fim de vida útil de visualizadores DHTML
- Integração com o Adobe Campaign Classic
- Artigos relacionados da comunidade
- Integração com o Adobe Campaign Standard
- Aviso de fim de vida útil de visualizadores Flash
- Integração com o Adobe Dynamic Tag Management
- Aceitação no Adobe Analytics e Adobe Target
- Portais e portlets AEM
- Integração com o Dynamic Media Classic (Scene7)
- Receitas do AEM Livefyre
- Solução de problemas de integração
- Integração com o BrightEdge Content Otimizer
- Produtor do Catálogo
- Integração com o Silverpop Engage
- Integração ao Adobe Campaign
- Integração com o ExactTarget
- Analytics com provedores externos
- Integração com a Adobe Marketing Cloud
- Configuração manual da integração com o Adobe Target
- Pré-requisitos para integração com o Adobe Target
- Integração com o Adobe Target usando IMS
- Classificações do Adobe
- Integração de soluções
- Exportar fragmentos de experiência para o Adobe Target
- Práticas recomendadas para modelos de email
- Integração com o Livefyre
- Práticas recomendadas
- Gerenciamento de conteúdo
Configuração do LDAP com AEM 6
LDAP (o L leve D Diretório A acesso P rotocol) é usado para acessar serviços de diretório centralizados. Isso ajuda a reduzir o esforço necessário para gerenciar contas de usuário, pois elas podem ser acessadas por vários aplicativos. Um desses servidores LDAP é o Ative Diretory. O LDAP é frequentemente usado para alcançar o Logon único , o que permite que um usuário acesse vários aplicativos após fazer logon uma vez.
As contas de usuário podem ser sincronizadas entre o servidor LDAP e o repositório, com os detalhes da conta LDAP sendo salvos no repositório. Isso permite que as contas sejam atribuídas a grupos de repositório para alocar as permissões e privilégios necessários.
O repositório usa a autenticação LDAP para autenticar esses usuários, com credenciais sendo passadas ao servidor LDAP para validação, o que é necessário antes de permitir o acesso ao repositório. Para melhorar o desempenho, as credenciais validadas com êxito podem ser armazenadas em cache pelo repositório, com um tempo limite de expiração para garantir que a revalidação ocorra após um período apropriado.
Quando uma conta é removida do servidor LDAP, a validação não é mais concedida e, portanto, o acesso ao repositório é negado. Detalhes de contas LDAP que são salvas no repositório também podem ser removidos.
O uso dessas contas é transparente para os usuários, eles não veem diferença entre as contas de usuário e grupo criadas a partir do LDAP e as criadas exclusivamente no repositório.
No AEM 6, o suporte LDAP vem com uma nova implementação que requer um tipo de configuração diferente das versões anteriores.
Todas as configurações LDAP agora estão disponíveis como configurações OSGi. Eles podem ser configurados por meio do console de Gerenciamento da Web em:
https://serveraddress:4502/system/console/configMgr
Para que o LDAP funcione com o AEM, é necessário criar três configurações OSGi:
- Um provedor de identidade LDAP (IDP).
- Um Manipulador De Sincronização.
- Um Módulo De Logon Externo.
Observar Módulo de logon externo do Oak - Autenticação com LDAP e Além para aprofundar os Módulos de logon externo.
Para ler um exemplo de configuração do Experience Manager com Apache DS, consulte Configurando o Adobe Experience Manager 6.5 para usar o Apache Diretory Service.
Configuração Do Provedor De Identidade LDAP
O Provedor de identidade LDAP é usado para definir como os usuários são recuperados do servidor LDAP.
Ele pode ser encontrado no console de gerenciamento sob o Provedor de identidade LDAP do Apache Jackrabbit Oak nome.
As seguintes opções de configuração estão disponíveis para o Provedor de identidade LDAP:
| Nome do provedor LDAP | Nome dessa configuração do provedor LDAP. |
| Nome do host do servidor LDAP |
Nome do host do servidor LDAP |
| Porta do servidor LDAP | Porta do servidor LDAP |
| Usar SSL | Indica se uma conexão SSL (LDAPs) deve ser usada. |
| Usar TLS | Indica se o TLS deve ser iniciado nas conexões. |
| Desativar verificação de certificado | Indica se a validação do certificado do servidor deve ser desativada. |
| DN de Ligação | DN do usuário para autenticação. Se isso for deixado em branco, um vínculo anônimo será executado. |
| Senha de Ligação | Senha do usuário para autenticação |
| Tempo limite da pesquisa | Tempo até que a pesquisa atinja o tempo limite |
| Máximo de pool de administradores ativo | O tamanho ativo máximo do pool de conexão do administrador. |
| Máximo de pool de usuários ativo | O tamanho ativo máximo do pool de conexões do usuário. |
| DN de base do usuário | O DN para pesquisas de usuários |
| Classes de objetos do usuário | A lista de classes de objetos que uma entrada de usuário deve conter. |
| Atributo de ID do usuário | Nome do atributo que contém a ID do usuário. |
| Filtro extra do usuário | Filtro LDAP extra a ser usado ao pesquisar usuários. O filtro final é formatado da seguinte maneira: '(&(<idattr>=<userid>)(objectclass=<objectclass>)<extrafilter>)' (user.extraFilter) |
| Caminhos de DN do usuário | Controla se o DN deve ser usado para calcular uma parte do caminho intermediário. |
| DN de base de grupo | O DN de base para pesquisas de grupo. |
| Classes de objetos de grupo | A lista de classes de objetos que uma entrada de grupo deve conter. |
| Atributo do nome do grupo | Nome do atributo que contém o nome do grupo. |
| Filtro extra do grupo | Filtro LDAP extra a ser usado ao pesquisar por grupos. O filtro final é formatado como: '(&(<nameattr>=<groupname>)(objectclass=<objectclass>)<extrafilter>)' |
| Caminhos de DN do Grupo | Controla se o DN deve ser usado para calcular uma parte do caminho intermediário. |
| Atributo do membro do grupo | Atributo de grupo que contém os membros de um grupo. |
Configurar O Manipulador De Sincronização
O manipulador de sincronização definirá como os usuários e grupos do Provedor de identidade serão sincronizados com o repositório.
Está localizado sob a variável Manipulador de sincronização padrão do Apache Jackrabbit Oak no console de gerenciamento.
As seguintes opções de configurações estão disponíveis para o Manipulador de Sincronização:
| Nome do manipulador de sincronização | Nome da configuração de sincronização. |
| Tempo de expiração do usuário | Duração até que um usuário sincronizado expire. |
| Associação automática de usuário | Lista de grupos aos quais um usuário sincronizado é adicionado automaticamente. |
| Mapeamento de propriedade do usuário | Definição de mapeamento de lista de propriedades locais de propriedades externas. |
| Prefixo do caminho do usuário | O prefixo de caminho usado ao criar novos usuários. |
| Expiração de associação de usuário | Hora após a qual a associação expira. |
| Profundidade de aninhamento da associação do usuário | Retorna a profundidade máxima do aninhamento de grupo quando as relações de associação são sincronizadas. Um valor de 0 desativa efetivamente a pesquisa de associação de grupo. Um valor de 1 adiciona apenas os grupos diretos de um usuário. Esse valor não tem efeito ao sincronizar grupos individuais somente ao sincronizar um ancestral de associação de usuários. |
| Tempo de Expiração do Grupo | Duração até que um grupo sincronizado expire. |
| Associação automática de grupo | Lista de grupos aos quais um grupo sincronizado é adicionado automaticamente. |
| Mapeamento de propriedade do grupo | Definição de mapeamento de lista de propriedades locais de propriedades externas. |
| Prefixo do caminho do grupo | O prefixo de caminho usado ao criar novos grupos. |
O módulo de logon externo
O módulo de logon externo está localizado na guia Módulo de logon externo Apache Jackrabbit Oak no console de gerenciamento.
O módulo de logon externo do Apache Jackrabbit Oak implementa as especificações do Java Authentication and Authorization Service (JAAS). Consulte a Guia oficial de referência de segurança do Java Oracle para obter mais informações.
Seu trabalho é definir qual Provedor de identidade e Manipulador de sincronização usar, vinculando efetivamente os dois módulos.
As seguintes opções de configuração estão disponíveis:
| Classificação JAAS | Especificação da classificação (ou seja, ordem de classificação) dessa entrada do módulo de logon. As entradas são classificadas em uma ordem decrescente (ou seja, as configurações de classificação de valor mais alto vêm primeiro). |
|---|---|
| Sinalizador de Controle JAAS | Propriedade especificando se um LoginModule é OBRIGATÓRIO, REQUISITO, SUFICIENTE ou OPCIONAL.Consulte a documentação de configuração do JAAS para obter mais detalhes sobre o significado desses sinalizadores. |
| Território JAAS | O nome do realm (ou nome do aplicativo) com base no qual o LoginModule será registrado. Se nenhum nome de realm for fornecido, o LoginModule será registrado com um realm padrão como configurado na configuração do Felix JAAS. |
| Nome do provedor de identidade | Nome do provedor de identidade. |
| Nome do manipulador de sincronização | Nome do manipulador de sincronização. |
Se você planeja ter mais de uma configuração LDAP com sua instância de AEM, é necessário criar provedores de identidade e manipuladores de sincronização separados para cada configuração.
Configurar LDAP por SSL
AEM 6 pode ser configurado para autenticação com LDAP por SSL seguindo o procedimento abaixo:
-
Verifique a Usar SSL ou Usar TLS caixas de seleção ao configurar o Provedor de identidade LDAP.
-
Configure o Manipulador de sincronização e o módulo de Logon externo de acordo com sua configuração.
-
Instale os certificados SSL em sua VM Java, se necessário. Isso pode ser feito usando keytool:
keytool -import -alias localCA -file <certificate location> -keystore <keystore location> -
Teste a conexão com o servidor LDAP.
Criação de certificados SSL
Certificados autoassinados podem ser usados ao configurar AEM para autenticação com LDAP via SSL. Veja abaixo um exemplo de um procedimento de trabalho para gerar certificados para uso com o AEM.
-
Certifique-se de ter uma biblioteca SSL instalada e funcionando. Este procedimento usará o OpenSSL como exemplo.
-
Crie um arquivo de configuração (cnf) OpenSSL personalizado. Isso pode ser feito copiando o arquivo de configuração padrão openssl.cnf e personalizando-o. Em sistemas UNIX, geralmente está localizado em
/usr/lib/ssl/openssl.cnf -
Continue criando a chave raiz da CA executando o comando abaixo em um terminal:
openssl genpkey -algorithm [public key algorithm] -out certificatefile.key -pkeyopt [public key algorithm option] -
Em seguida, crie um novo certificado autoassinado:
openssl req -new -x509 -days [number of days for certification] -key certificatefile.key -out root-ca.crt -config CA/openssl.cnf -
Inspect o certificado recém-gerado para garantir que tudo esteja em ordem:
openssl x509 -noout -text -in root-ca.crt -
Verifique se todas as pastas especificadas no arquivo de configuração de certificado (.cnf) existem. Caso contrário, crie-os.
-
Crie uma seed aleatória, executando, por exemplo:
openssl rand -out private/.rand 8192 -
Mova os arquivos .pem criados para os locais configurados no arquivo .cnf .
-
Por fim, adicione o certificado ao keystore Java.
Ativação do log de depuração
O registro de depuração pode ser ativado tanto para o Provedor de identidade LDAP quanto para o Módulo de logon externo para solucionar problemas de conexão.
Para ativar o log de depuração, é necessário:
- Vá para o Console de Gerenciamento da Web.
- Localize "Configuração do Apache Sling Logging Logger" e crie dois loggers com as seguintes opções:
-
Nível de registro: Depurar
-
Arquivo de log logs/ldap.log
-
Padrão da mensagem: {0,data,dd.MM.yyyy HH:mm:s.SSS} *{4}* {2}
-
Logger: org.apache.jackrabbit.oak.security.authentication.ldap
-
Nível de registro: Depurar
-
Arquivo de log: logs/external.log
-
Padrão da mensagem: {0,data,dd.MM.yyyy HH:mm:s.SSS} *{4}* {2}
-
Logger: org.apache.jackrabbit.oak.spi.security.authentication.external
Uma palavra sobre afiliação de grupo
Os usuários sincronizados por meio do LDAP podem fazer parte de grupos diferentes no AEM. Esses grupos podem ser grupos LDAP externos que serão adicionados a AEM como parte do processo de sincronização, mas também podem ser grupos que são adicionados separadamente e não fazem parte do esquema de afiliação do grupo LDAP original.
Na maioria dos casos, esses podem ser grupos adicionados por um administrador de AEM local ou por qualquer outro provedor de identidade.
Se um usuário for removido de um grupo no servidor LDAP, a alteração também será refletida no lado AEM após a sincronização. No entanto, todas as outras afiliações de grupo do usuário que não foram adicionadas pelo LDAP permanecerão em vigor.
O AEM detecta e lida com a limpeza de usuários de grupos externos ao usar o rep:externalId propriedade. Essa propriedade é adicionada automaticamente a qualquer usuário ou grupo sincronizado pelo Manipulador de Sincronização e contém informações sobre o provedor de identidade de origem.
Para obter mais informações, consulte a documentação do Apache Oak em Sincronização de usuários e grupos.
Problemas conhecidos
Se você planeja usar o LDAP sobre SSL, certifique-se de que os certificados que está usando sejam criados sem a opção de comentário do Netscape. Se essa opção estiver habilitada, a autenticação falhará com um erro de handshake SSL.
Recursos do Business.Adobe.com
Recursos
Conta da Adobe
